EuGH verkündet Aus für Privacy Shield

Veröffentlicht am: 17. Juli 2020 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik, Trends Keine Kommentare

Es ist fast wie eine Zeitreise in das Jahr 2015. Damals kippte der Europäische Gerichtshof (EuGH) die Safe-Harbor-Vereinbarung. Gestern, fünf Jahre später, ereilte seinen Nachfolger, den Privacy Shield, dasselbe Schicksal. Ein aktuelles Urteil des Europäischen Gerichtshofs hat die Datenschutz-Absprache zwischen der Europäischen Kommission und den USA für unrechtsmäßig erklärt. Der Privacy Shield ist damit Geschichte.

Das Urteil zum Rechtsfall Schrems vs. Facebook ist für Datenschützer in ganz Europa ein großer Erfolg im Kampf gegen den schon seit Jahren kritisch beäugten Privacy Shield. Auch wir begrüßen das Urteil und freuen uns über den deutlichen Ausgang. Mit der richterlichen Entscheidung wurde der Übermittlung personenbezogener Daten in die USA eine wichtige rechtliche Grundlage entzogen. Ein klarer Sieg für den Schutz personenbezogener Daten von EU-Bürgerinnen und Bürgern!

Der Datenschutzschild ist schon länger löchrig

Schon lange gab es Kritik von verschiedenen Seiten. Denn der Privacy Shield, und der damit verbundene ungehinderte Datentransfer in die USA, hatte längst viele Gegner, auch innerhalb der EU-Politik. Der wohl größte Kritikpunkt am Privacy Shield war von Anfang an, dass sich die USA auf einen ungefilterten Datenfluss für Wirtschaft und Sicherheit berufen. Dadurch hebelten US-Behörden – wie beispielsweise die NSA – die strengen europäischen Datenschutzrichtlinien teilweise durch nationale Gesetze gekonnt aus. Wie mit den Daten umgegangen wird, wann Daten von wem abgefangen werden und wer überhaupt alles Zugang hat, verschwand fern ab jeglicher europäischer Regulierungsmöglichkeiten in nicht transparenten Vorgängen. Erahnen kann man die Handlungsmöglichkeiten der US-Behörden anhand des CLOUD Acts. Die Situation war nicht tragbar und stellte ein großes Sicherheitsrisiko dar – nicht nur für alle EU-Bürger, sondern auch für europäische Behörden und Europas Wirtschaft. Ein No-Go, auch mit Blick auf die strengen Schutzvorgaben der DSGVO, denn die Daten europäischer Bürgerinnen und Bürger waren trotz der rechtlichen Grundlage bei US-Unternehmen nicht ausreichend geschützt.

Datenschutzbehörden müssen genauer hinschauen

Bei Schrems gewonnener Klage ging es aber nicht nur um den Privacy Shield und Facebook. Es ging auch um die EU-Standardvertragsklauseln zum Datenschutz, die von Facebook seit einiger Zeit angewandt werden, und die Verantwortung der irischen Datenschutzbehörde, die für den europäischen Sitz des Tech-Giganten zuständig ist. Und hier hat das Gericht deutliche Worte gefunden und der irischen Datenschutzbehörde eine Rüge erteilt. Zwar bestehen die bisherigen Standardvertragsklauseln weiterhin, die zuständigen Behörden müssen aber genauer hinschauen, was mit den Daten passiert – und notfalls die Reißleine ziehen, wenn es bei der Datenübermittlung Unstimmigkeiten gibt. Damit werden die Datenschutzbehörden der EU-Mitgliedsstaaten deutlich stärker in die Pflicht genommen und es wächst auch deren Verantwortung gegenüber den EU-Bürgern. Ich hoffe sehr, dass die europäischen Behörden dieser Aufforderung durch den EuGH nachkommen und ihre Rolle ernst nehmen.

US-amerikanische Unternehmen unter Druck

„Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen”, sagt Schrems kurz nach der Urteilsverkündung. Das sind deutliche Worte und sie treffen den Nagel auf den Kopf. Aber: Die EU muss geltendes Recht durchsetzen und darf keine Schlupflöcher offenlassen. Hier müssen vor allem die Datenschutzbehörden ihrer Verantwortung nachkommen und zukünftig viel genauer hinschauen. Unterm Strich setzt das Urteil viele US-Unternehmen unter Druck und hinterlässt eine gehörige Portion an Rechtsunsicherheit bei Privatanwendern und Unternehmen in der EU.

Obacht bei der Anbieter- und Herstellerwahl

Das Urteil zeigt erneut – genauso wie im Oktober 2015 -, wer den Schutz seiner Daten sicherstellen will, der sollte auf vertrauenswürdige europäische Anbieter setzen, um nicht in datenschutzrechtliche Schwierigkeiten zu geraten. Das gilt gleichermaßen für die Wirtschaft wie für die Verwaltung und unzählbare Einrichtungen der öffentlichen und privaten Hand – und ganz aktuell vor allem für das Bildungswesen. Denn gerade dort boomt durch den Digitalpakt Schule die Nachfrage zum Beispiel nach Cloud-Lösungen für das Management von Schulnetzen oder Online-Konferenzen extrem. Häufig in der engeren Auswahl: US-amerikanische Unternehmen. Schulträger – und auch andere Entscheider –  tun deshalb gut daran, bei der Auswahl ihrer Hersteller und Anbieter die Datenschutzthematik nicht auszuklammern.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.